アカウント名:
パスワード:
> # インターネットバンキングでてのひら認証できたらいいのに:-) あくまで理論的な話ですが、新手のフィッシングにひっかかって 手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は 暗証番号などと違って変更が出来ないので逆にやばい様な気がします。
システム全体から見れば、生体認証は単にIDが一つ増えただけです
ATMから見れば、ICカードの固有情報とICカードに記録された生体情報が合致してはじめて勘定系にアクセスする許可を出します。
ID は identifier の略な訳ですが。パスワードで固体認識は可能ですか?
生体情報はあくまで固体認識を行なう目的のものであって、明確に異なります。
ATMから見れば、ICカードの固有情報とICカードに記録された生体情報が合致してはじめて勘定系にアクセスする許可を出します。 それはつまり、生体情報はパスワードだってことだね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
UFJは乱数表があるけど (スコア:1)
が指摘しているように、なんどもリクエストを投げる攻撃に対しては脆弱ですが。
みずほ銀行のように乱数表すらないインターネットバンキングって、設計に根本的な間違いが
あるような気がします
東京三菱のがひどい (スコア:1)
むしろ、東京三菱のようにログインだけで乱数表が必要な方が、設計の悪さを感じます。ログインしてしまうと振込みなど資金移動も可能なので、けっこうやばいです。
# インターネットバンキングでてのひら認証できたらいいのに:-)
Re:東京三菱のがひどい (スコア:1)
あくまで理論的な話ですが、新手のフィッシングにひっかかって
手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は
暗証番号などと違って変更が出来ないので逆にやばい様な気がします。
# どこかのサイトの受け売りなんだけど肝心のサイト忘れたorz
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:東京三菱のがひどい (スコア:1)
Re:東京三菱のがひどい (スコア:1)
ですから,生体認証は本人以外が入力しづらい ID であって
パスワードではないんです.このことを誤解している人が
多いような気がします.
Re:東京三菱のがひどい (スコア:2, 参考になる)
そうですね。
東京三菱銀行の場合、生態認証カードであっても、パスワードが必須です。
1)ATMにカードを入れる。
2)パスワードを入力する。
3)引き落とし操作などをする。
と、いう流れになります。
従来のカードと流れは同じで、単にカードに備わっていたIDが本人以外には入力困難なID(生態認証)に置き換えられただけです。
パスワードを頻繁に変更していれば、仮に生態認証情報が盗まれたとしても被害に遭わずに済むはずです。
Re:東京三菱のがひどい (スコア:0)
Re:東京三菱のがひどい (スコア:1)
Re:東京三菱のがひどい (スコア:0)
ATMから見れば、ICカードの固有情報とICカードに記録された生体情報が合致してはじめて勘定系にアクセスする許可を出します。勘定系から見ればATMから送られてくるのは、ID情報と暗証番号だけです
システム全体から見れば、生体認証は単にIDが一つ増えただけです
Re:東京三菱のがひどい (スコア:0)
Re:東京三菱のがひどい (スコア:1)
ID は identifier の略な訳ですが。パスワードで固体認識は可能ですか?
生体情報はあくまで固体認識を行なう目的のものであって、明確に異なります。
Re:東京三菱のがひどい (スコア:0)
生体情報はパスワードですよ。
Re:東京三菱のがひどい (スコア:1)
盗まれたら取り返せない
(盗まれてもかまわない運用であるべき)
パスワードは変更可能
盗まれても変更すればよい
Re:東京三菱のがひどい (スコア:0)
できなきゃ警察のやっていることは何だ?
Re:東京三菱のがひどい (スコア:1)
パスワードが誕生日である事よりはましかも知れないが、生体情報をパスワードにすべきではない。
IDはあるシステムで個を識別するための符合で、その目的のため公開され得る。しかし、安全性や利便性との兼ね合いから公開すべきではない情報となることも多く、たとえばクレジットカード番号の様に扱いがIDよりもパスワードに近くなる事もある(しかしパスワードではない)。
生体情報は個人との結び付きが強く、基本的に変更できないと考えられる物で、将来どれだけ秘匿性の高いID(の一部)として使われるかわからない以上、パスワード以上に秘匿しなければならない。
#さらに個人情報でもある
よって、生体情報はID/パスワード双方の性質を合わせ持つが故に、どちらか一方の考えのみをするべきではなくIDでもパスワードでもないと考えるべき。
結論:生体情報は、
・安易に使うな
・パスワードよりも隠せ
・使ってもセキュリティーが向上するとは思うな
#あれ?使う意味は?(笑)
Re:東京三菱のがひどい (スコア:1)
入力の利便性の向上と、楽しさです。
アミューズメント施設に向いてると思います。子供とか喜ぶ。
Re:東京三菱のがひどい (スコア:1)
> 入力の利便性の向上と、楽しさです。
> アミューズメント施設に向いてると思います。子供とか喜ぶ。
入力の利便性向上というのには同意ですが、アミューズメント施設などで安易に使用すべきものかどうかは疑問です。
生体情報を利用する事は、極論すれば口座番号とか住基カードを使うようなものと言えませんか?そういった情報をさほどセキュリティが期待できない環境で使う事は避けるべきでしょう。
とはいえ、そういった用途では精度の良い装置を使う事はないと思うし、使った右手は将来重要な用途に使わないと決めれば良いわけだし、杞憂にすぎないかも知れませんが。
じゃあ、何に使うべきかと言えば、一つは利便性向上のためにIDの代わりとして利用する事。ただし、この場合セキュリティレベルは下がるので、それ相応のアクセスのみに限定する。もう一つは別の重要なIDを補間するIDとして。
どちらにしろユーザとして利用するか否かは利便性や効果との天秤に書けた上で、慎重に決めるべきだと思います。
Re:東京三菱のがひどい (スコア:0)
Re:東京三菱のがひどい (スコア:0)
ぜんぜん意味がわからないのですが。
Re:東京三菱のがひどい (スコア:1)
不可逆な符号化をして送ればいいような気がしますが,それでは
駄目なんでしょうか.
#で,ホスト側も同じ乱数と記録してあるデータを用いて同様に
#符号化して照合.
Re:東京三菱のがひどい (スコア:0)
2.「新しいクライアントはこちら」 生体データをそのまま(犯人のサーバに)送るソフトをダウンロードさせる
3.「古いクライアントソフトは使用できなくなり
Re:東京三菱のがひどい (スコア:0)
大昔に「夜間金庫はコチラ」とニセ夜間金庫を作って現金袋をせしめようとしたフィッシング(w事件がありましたが、これまた大昔あった手のひら占いで手のひらデータをせしめる犯罪が出るのでしょうか?
大学祭の占いコーナーに疑いの眼差しを!(チガ)
Re:東京三菱のがひどい (スコア:0)
両手切り取られる?